Una nueva campaña de publicidad maliciosa de Google está aprovechando un grupo de dominios que imitan un software de escaneo de IP legítimo para ofrecer una puerta trasera previamente desconocida denominada MadMxShell.
«El actor de amenazas registró múltiples dominios similares utilizando una técnica de typosquatting y aprovechó Google Ads para llevar estos dominios a la cima de los resultados de los motores de búsqueda dirigidos a palabras clave de búsqueda específicas, atrayendo así a las víctimas a visitar estos sitios», dijeron los investigadores de Zscaler ThreatLabz, Roy Tay y Sudeep. singh dicho.
Se dice que se registraron hasta 45 dominios entre noviembre de 2023 y marzo de 2024, y los sitios se hicieron pasar por software de gestión de TI y escaneo de puertos, como Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG y ManageEngine.
Si bien esto es no es la primera vez los actores de amenazas son bancario en técnicas de publicidad maliciosa Para servir malware a través de sitios similares, el desarrollo marca la primera vez que el vehículo de entrega se utiliza para propagar una sofisticada puerta trasera de Windows.
Por lo tanto, a los usuarios que terminan buscando dichas herramientas se les muestran sitios falsos que incluyen código JavaScript diseñado para descargar un archivo malicioso («Advanced-ip-scanner.zip») al hacer clic en el botón de descarga.
Dentro del archivo ZIP hay un archivo DLL («IVIEWERS.dll») y un ejecutable («Advanced-ip-scanner.exe»), el último de los cuales utiliza la carga lateral de DLL para cargar la DLL y activar la secuencia de infección.
El archivo DLL es responsable de inyectar el código shell en el proceso «Advanced-ip-scanner.exe» mediante una técnica llamada proceso hueco, tras lo cual el archivo EXE inyectado descomprime dos archivos adicionales: OneDrive.exe y Secur32.dll.
Luego se abusa de OneDrive.exe, un binario legítimo firmado de Microsoft, para cargar Secur32.dll y, en última instancia, ejecutar la puerta trasera del código shell, no sin antes configurar la persistencia en el host mediante una tarea programada y deshabilitar el antivirus Microsoft Defender.
La puerta trasera, llamada así por el uso de Consultas DNS MX para comando y control (C2): está diseñado para recopilar información del sistema, ejecutar comandos a través de cmd.exe y realizar operaciones básicas de manipulación de archivos, como leer, escribir y eliminar archivos.
Envía solicitudes al servidor C2 («litterbolo[.]com») codificando los datos en los subdominios del nombre de dominio completo (FQDN) en un paquete de consulta de intercambio de correo DNS (MX) y recibe comandos codificados dentro del paquete de respuesta.
«La puerta trasera utiliza técnicas como múltiples etapas de carga lateral de DLL y túnel DNS para la comunicación de comando y control (C2) como un medio para evadir las soluciones de seguridad de red y endpoint, respectivamente», dijeron Tay y Singh.
«Además, la puerta trasera utiliza técnicas evasivas como el antidumping para impedir el análisis de la memoria y obstaculizar las soluciones de seguridad forense».
Actualmente no hay indicios de dónde se originan los operadores de malware o cuáles son sus intenciones, pero Zscaler dijo que identificó dos cuentas creadas por ellos en foros criminales clandestinos como blackhatworld.[.]com y social-ing[.]ru usando la dirección de correo electrónico wh8842480@gmail[.]com, que también se utilizó para registrar un dominio de suplantación de dominio Advanced IP Scanner.
Específicamente, el actor de amenazas ha sido encontró comprometiéndose publicaciones ofreciendo formas de configurar cuentas de umbral ilimitadas de Google AdSense allá por junio de 2023, lo que indica su interés en lanzar su propia campaña de publicidad maliciosa duradera.
«Las cuentas de umbral de Google Ads y las técnicas para abusar de ellas a menudo se comercializan en los foros de BlackHat», dijeron los investigadores. «Muchas veces ofrecen una forma para que el actor de amenazas agregue tantos créditos como sea posible para ejecutar campañas de Google Ads».
«Esto permite a los actores de amenazas ejecutar campañas sin pagar hasta el límite. Un límite de umbral razonablemente alto permite al actor de amenazas ejecutar la campaña publicitaria durante una cantidad de tiempo significativa».